Petyaランサムウェアの駆除と対策

Petyaランサムウェアを削除するために、電源を切る、ネットワークを切断する、ポート445/139をブロックする、重要なファイルをバックアップする、WindowsセキュリティパッチMS17-010をインストールする、ウイルス対策ソフトウェアをインストールする、危険なWebサイトから離れることができます。

ゆき
July 23, 2019

Petyaランサムウェアの駆除と対策

2017年6月27日、新たなランサムウェアによる攻撃が世界中で再び発生しています。これは過去2ヶ月間の3つ目のウイルスです。最初の2つはWannaCryとEternalRocksです。EternalRocksの影響は小さいから一部の人はそれを無視します。彼らは今回のランサムウェアを2つ目のウイルスとみなすかもしれません。この時期はランサムウェアウイルスを播種するためのシーズンみたいです。

Petyaマルウェアについて

PetyaはPetnaまたはPneytnaなどとも呼ばれ、新たなランサムウェアです。それもWindowsの脆弱性「EternalBlue」を悪用してネットワークに拡散しています。ウクライナの政府機関、電力網、銀行、公共交通機関などを含む、ヨーロッパとアメリカ各地の企業や組織を攻撃し、ビットコインで300米ドルの身代金を要求します。PetyaはWannaCryによく似ていますが実際にそうではありません。WannaCryと比べてそれは賛否両論です。

改良点:PetyaランサムウェアウイルスはWindowsの脆弱性(通称Eternal Blue)だけでなく、2つのWindows管理ツール(PsExecまたはWMIC)も利用してコンピュータを攻撃します。それはまず1つの方法を試して攻撃します。効果がないならそれは他の方法を使ってみます。PetyaはWannaCryより良い拡散メカニズムを持っています。それにこの新しい亜種はファイルを暗号化するだけでなく、マスターブートレコードも上書きして暗号化します。

欠陥:Petyaは愚かな支払いメカニズムを持っています。Petyaランサムウェアウイルスは全ての被害者のために同じ支払い口座を作成します。それは追跡されることができます。しかも被害者は、単一電子メールアドレスを介してハッカーと通信できます。そしてこのアドレスはすでにメールプロバイダによって中断されました。そのため、現在Petyaは貴方の生活に影響するなら、攻撃者と連絡できなくても、身代金を支払わないでください。

Petyaマルウェアはもっと明確な目標があり、大きな会社や組織です。このウイルスは、ウクライナの政府と協力する企業が使用する会計ソフトに組み込まれたソフトウェア更新メカニズムを介して播種されます。そのため、一番被害を受けたのは電力網、政府機関、銀行を含むウクライナの組織です。それは外部からの侵入ではなく、ネットワークで内部拡散します。この拡散メカニズムのおかげでPetyaランサムウェアウィルスが簡単に制御されることができます。

コンピュータはPetyaマルウェアに感染する経路

コンピュータはPetyaマルウェアに感染すると、データの暗号化を開始する前にそれは10〜60分(無作為)がかかります。コンピュータファイルを暗号化するためにそれはまずコンピュータを再起動します。ですからPetyaはコンピュータを再起動する時、電源を切ってコンピュータをインターネットから切断します。これでPetyaランサムウェアの駆除を実現できます。

もしマシンの電源を切るチャンスを見逃してコンピュータが正常に再起動するなら、Petyaランサムウェアウイルスは読み取り専用ファイルC:\Windows\perfc.datをチェックします。このファイルがコンピュータの上に見つかった場合、Petyaは個人ファイルの暗号化を実行しません。これを完全に信じるわけではないが、攻撃を防ぐためにシステムにこのファイルを作成してみたほうがいいです。

Petyaランサムウェアの駆除

もし、既にPetyaマルウェアに感染して重要なファイルが暗号化されたら、いくつかのウイルス対策ソフトウェアを試してPetyaランサムウェアの削除を行えます。あるいは、まずコンピュータをブータブルレスキューメディアから起動してバックアップ/移行を通してデータを救うこともできます。

ブータブルメディア(コンピュータの間でUSBを移動するのは便利だから起動可能なUSBをお勧めします)を作成するために、最初、適切なUSBを見つけます。その上に重要なデータがないか、またはその重要なデータはもうバックアップされたか確認してください。そしてこのUSBを未だ感染しないコンピュータに挿入します。

1. 影響を受けていないマシンに無料AOMEI Backupper Standardをダウンロードし、インストールして開きます。それが開くとホーム画面で「ユーティリティ」→「ブータブルメディアの作成」を選択します。

2. 次の画面で「Windows PEに基づいてブータブルメディアを作成」を選択して「次へ」をクリックします。そしてこのプログラムは現在のシステムがブータブルデバイスの作成をサポートするかどうかを判断します。ほとんどのOSは認証済みです。もしお使いのシステムはそれをサポートしない場合、このソフトウェアはWindows ADK/AIKをインストールすることを要求するかもしれません。その指示に従ってOSを認証させます。

3. PEブートモードを選択した後、「USBブートデバイス」を選択して「次へ」をクリックします。

4. それが完了するのを待っています。そしてUSBフラッシュドライブを取り外します。

ヒント: ブータブルUSBを作成する時、AOMEI Backupperはもうブータブルデバイスにパックされました。そして感染したコンピュータはUSBドライブから起動した後、Petyaランサムウェアの削除を実行するためにAOMEI Backupperを直接使用することができます。

5. 感染したマシンにブータブルUSBを接続して手動でコンピュータを再起動します。その自分のシステムから再起動する前に、BIOSに入り、起動順位を変更してそれをUSBから起動させます。

6. コンピュータはUSBディスクから正常に起動する時、AOMEI Backupper Standardは自動的にポップアップします。そのインターフェースは次の画面のようです。「Backup」を選択します。

7. 「File Backup」を選択して続行します。システムパーティションではないパーティション全体のデータをバックアップしたいない「Partition Backup」を選択することもできます。

8. 感染したコンピュータから移動したい全てのファイルを選択します。

9. 外付けストレージデバイス(例えば、別のUSB)を感染したコンピュータにデータバックアップ先として挿入します。ブータブルUSBデバイスにバックアップイメージを保存したいかもしれません。それもOKです。

10. 「Start Backup」をクリックして完了を待ちます。そしてブータブルUSBと外付けイメージストレージ両方を引き出します。次はさらにPetyaランサムウェアの復号を求めるためにバックアップされたファイルを正常に働いているコンピュータに復元する必要があるかもしれません。

Petyaランサムウェアから身を守る方法

PetyaマルウェアはWindowsの脆弱性「EternalBlue」および2つのWindows管理ツールを利用して拡散するので、WannaCryに対抗するように以下の行動を取ってPetyaの感染を予防できます。

1. さらなる感染を回避するためにネットワークを切断したり、ポート445/139をブロック(コントロールパネル→システムとセキュリティ→Windowsファイアウォール→詳細設定→受信の規則→新しい規則→ポート→次へ→TCP→特定のローカルポート: 445/139→次へ→接続をブロックする→次へ→完了)したりできます。

2. 重要なファイルを外付けデバイス、ネットワーク共有、NASまたはクラウドストレージにバックアップします。まだAOMEI Backupper Standardを使用してバックアップを作成できます。

3. 頼もしいウイルス対策ソフトウェアを入手してPetyaランサムウェアを検出したり、ウイルスによる攻撃に対抗したりします。例えば、Windows Defender Advanced Threat Protection、SymantecとKasperskyです。Kasperskyはサイバー攻撃を発見できるように更新されたと宣言します。

4. 3月、Microsoftによってリリースされた脆弱性の修正パッチをインストールします。またはWindows UpdateでPCを最新の状態に保ちます。

5. 安全ではないWebサイトを開かないよう、良い習慣を身に付けます。

結論と意見

いくつかのセキュリティ研究者によると、Petyaはランサムウェアに偽装して破壊力があり、特にウクライナ政府機関を狙って攻撃します。この件についてはいろいろ考えさせられます。もしある日、テロリストの攻撃は本物の武器(例えば、銃、爆弾、ナイフなど)じゃなくてサイバー武器(例えば、ランサムウェア、マルウェア、ウイルス、トロイの木馬など)を使うなら、世界はどうなるでしょうか。そして、誰でも体に傷を負わないが、大きな財政的損失を起こしたり、公共サービスシステムが麻痺したり、秘密文書が漏洩します。こういう時、どうすればいいでしょうか?

ウイルス対策仕事は内閣サイバーセキュリティセンターやネットワーク事業者の任務だけでなく、全てのネットシチズンの義務です。安全かつきれいなネットワーク環境を作るために全ての人は今から行動を取りましょう。